Инженер по безопасности приложений
Tilda ищет талантливого инженера по безопасности приложений, который будет играть важную роль в обеспечении безопасности продуктов компании.
Tilda — это международный продукт, который работает на стыке дизайна и программирования. Мы перевернули индустрию веб-разработки и показали, какой на самом деле должна быть платформа для создания сайтов.
Сейчас мы в поиске специалиста, который будет ответственным за ручной и автоматизированный поиск уязвимостей, аудит кода сервисов и сканы безопасности инфраструктуры.
Сейчас мы в поиске специалиста, который будет ответственным за ручной и автоматизированный поиск уязвимостей, аудит кода сервисов и сканы безопасности инфраструктуры.
Что нужно будет делать:
- Реализовывать и поддерживать процесс безопасной разработки программного обеспечения (SSDLC):
- Определять требований Git-flow для команд;
- Внедрять практики Singed Commit, Signed Artifacts, Code Owners;
- Внедрять SAST решения;
- Внедрять Secrets Detection решения;
- Внедрять SCA решения;
- Внедрять DAST решения;
- Внедрять средство оркестрации уязвимостей;
- Писать и совершенствовать правила SAST/DAST и иных инструментов, направленных на анализ безопасности продуктов;
- Поддерживать и совершенствовать существующие инструменты сканирования;
- Помогать командам в моделировании угроз;
- Проводить Security Review перед публикацией сервиса;
- Проводить тираж уязвимостей.
- Внедрять процессы Security Quality Gates;
- Реализовывать процесс Secret Management;
- Реализовывать процесс Vulnerability Management;
- Участвовать в проектах по созданию новых сервисов и продуктов в качестве эксперта по информационной безопасности;
- Проводить анализ защищенности существующих продуктов компании.
Что ждем от кандидата:
- Опыт поиска и устранения уязвимостей из OWASP Top 10;
- Умение выявлять архитектурные ошибки и уязвимости бизнес логике;
- Опыт работы с OWASP SAMM;
- Опыт построения процессов SSDLC;
- Понимаете принципы построения и работы веб-приложений;
- Опыт работы с Github Actions, Github Workflow ;
- Умение читать и анализировать код на PHP;
- Опыт работы с инструментами сканирования (одним из каждой категории):
- SAST: Semgrep, SonarQube.
- SCA: Dependency Track, Dependency Check.
- Secret Detection: trufflehog, gitleaks.
- DAST: OWASP ZAP, Nuclei.
Дополнительно приветствуем:
- Умение ориентироваться в документах по ФЗ-152 (и возможно GDPR), а также способствовать тому, чтобы код соответствовал изменениям в законодательстве;
- Опыт получения сертификатов по информационной безопасности и защите персональных данных (например, ISO 27001).
Что мы можем предложить:
- Стабильный международный проект с большой аудиторией, есть IT-аккредитация в России;
- Отсутствие бюрократии: любой вопрос можно быстро обсудить и решить;
- Быструю реализацию идей, возможность влиять на процессы работы;
- Создание действительно нужных людям вещей и получение большого количества приятной обратной связи от пользователей;
- Просторный и уютный офис в центре Москвы;
- Участие в профильных конференциях и курсах за счет компании;
- Возможность пройти бесплатное обучение от Школы Тильды по имеющимся направлениям;
- Внутренние развивающие митапы;
- Корпоративные выплаты в случае важных семейных событий;
- ДМС со стоматологией;
- Гибридный / удалённый формат работы, гибкое начало рабочего дня.
Если вы хотите внести вклад в развитие диджитал-сферы, работать в прорывном продукте с большой аудиторией, приходите к нам!
Отправьте заявку
